Gestion des clés multi-régions - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des clés multi-régions

Pour la plupart des actions, vous gérez les clés multi-région de la même manière que vous utilisez et gérez les clés à région unique. Vous pouvez activer et désactiver les clés, définir et mettre à jour des alias, des politiques de clé, des autorisations et des balises. Cependant, la gestion des clés multi-région diffère en ces points.

La propriété multi-région que vous définissez lorsque vous créez une clé KMS est inaltérable. Vous ne pouvez pas convertir une clé à région unique en clé multi-région ou convertir une clé multi-région en clé à région unique.

Mise à jour de la région principale

Chaque ensemble de clés multi-région associées doit posséder une clé principale. Mais vous pouvez changer la clé principale. Cette action, connue sous le nom de mise à jour de la région principale, convertit la clé principale actuelle en clé de réplica et convertit l'une des clés de réplica associées en clé principale. Vous pouvez le faire si vous avez besoin de supprimer la clé principale actuelle tout en conservant les clés de réplica, ou si vous devez localiser la clé principale dans la même région que vos administrateurs de clé.

Vous pouvez sélectionner n'importe quelle clé de réplica associée comme nouvelle clé principale. La clé principale et la clé de réplica doivent être toutes les deux dans l'état de clé Enabled lorsque l'opération démarre.

Même après la fin de cette opération, le processus de mise à jour de la région principale peut toujours être en cours pendant quelques secondes supplémentaires. Pendant ce temps, les anciennes et les nouvelles clés principales ont un état de clé transitoire Updating (Mise à jour en cours). Lorsque l'état de la clé est Updating, vous pouvez utiliser les clés dans les opérations cryptographiques, mais vous ne pouvez pas répliquer la nouvelle clé principale ou effectuer certaines opérations de gestion, telles que l'activation ou la désactivation de ces clés. Des opérations telles que celles DescribeKeysusceptibles d'afficher à la fois les anciennes et les nouvelles clés primaires sous forme de répliques. L'état de la clé Enabled est restauré lorsque la mise à jour est terminée.

Supposons que vous avez une clé principale dans la région USA Est (Virginie du Nord) (us-east-1) et une clé de réplica dans la région UE (Irlande) (eu-west-1). Vous pouvez utiliser la fonction de mise à jour pour remplacer la clé principale dans la région USA Est (Virginie du Nord) (us-east-1) par une clé de réplica et transformer la clé de réplica dans la région UE (Irlande) (eu-west-1) par la clé principale.

Mise à jour de la clé principale

Une fois le processus de mise à jour terminé, la clé multi-région dans la région UE (Irlande) (eu-west-1) est une clé principale multi-région et la clé dans la région USA Est (Virginie du Nord) (us-east-1) est sa clé de réplica. S'il existe d'autres clés de réplica associées, elles deviennent des réplicas de la nouvelle clé principale. La prochaine fois qu'il AWS KMS synchronisera les propriétés partagées des clés multirégionales, il obtiendra les propriétés partagées de la nouvelle clé primaire et les copiera dans ses clés répliques, y compris l'ancienne clé primaire.

L'opération de mise à jour n'a aucun effet sur l'ARN de clé de n'importe quelle clé multi-région. Elle n'a pas non plus d'effet sur les propriétés partagées, telles que les éléments de clé, ni sur les propriétés indépendantes, telles que la politique de clé. Toutefois, vous devrez peut-être mettre à jour la politique de clé de la nouvelle clé principale. Par exemple, vous souhaiterez peut-être ajouter kms : ReplicateKey permission for trusted principals à la nouvelle clé primaire et la supprimer de la nouvelle clé de réplique.

L'état de clé Updating

Le processus de mise à jour d'une région principale prend un peu plus de temps que le bref délai de cohérence final qui affecte la plupart AWS KMS des opérations. Il se peut que le processus soit toujours en cours après que l'opération UpdatePrimaryRegion renvoie ses éléments, ou si vous avez terminé la procédure de mise à jour dans la console. Des opérations telles que l'DescribeKeyaffichage de l'ancienne et de la nouvelle clé primaire sous forme de répliques jusqu'à la fin du processus.

Au cours du processus de mise à jour de la région principale, l'ancienne clé principale et la nouvelle clé principale se trouvent à l'état de clé Updating. Lorsque le processus de mise à jour se termine avec succès, les deux clés retournent à l'état de clé Enabled. Lors de l'état Updating, certaines opérations de gestion, telles que l'activation et la désactivation des clés, ne sont pas disponibles. Toutefois, vous pouvez continuer à utiliser les deux clés dans les opérations cryptographiques sans interruption. Pour plus d'informations sur l'effet de l'état de clé Updating, veuillez consulter États clés des AWS KMS clés.

Mise à jour d'une région principale (console)

Vous pouvez mettre à jour la clé primaire dans la AWS KMS console. Commencez sur la page des détails de la clé principale actuelle.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  4. Sélectionnez l'ID de clé ou l'alias de la clé principale multi-région. La page des détails de la clé principale s'ouvre.

    Pour identifier une clé principale multi-région, utilisez l'icône de l'outil dans le coin supérieur droit pour ajouter la colonne Regionality (Régionalité) dans la table.

  5. Cliquez sur l'onglet Regionality (Régionalité).

  6. Dans la section Primary key (Clé principale), choisissez Change primary Region (Modifier la région principale).

  7. Choisissez la région de la nouvelle clé principale. Vous ne pouvez choisir qu'une seule région dans le menu.

    Le menu Change primary Regions (Modifier les régions principales) n'inclut que les régions associées à une clé multi-région. Vous n'êtes peut-être pas autorisé à mettre à jour la région principale dans toutes les régions du menu.

  8. Choisissez Change primary Region (Modifier la région principale).

Mettre à jour une région principale (AWS KMS API)

Pour modifier la clé primaire dans un ensemble de clés multirégionales associées, utilisez l'UpdatePrimaryRegionopération.

Utilisez le paramètre KeyId pour identifier la clé principale actuelle. Utilisez le PrimaryRegion paramètre pour indiquer Région AWS la nouvelle clé primaire. Si la clé principale n'a pas déjà de réplica dans la nouvelle région principale, l'opération échoue.

L'exemple suivant transforme la clé principale de la clé multi-région dans la région us-west-2 en son réplica dans la région eu-west-1. Le paramètre KeyId identifie la clé principale actuelle dans la région us-west-2. Le PrimaryRegion paramètre spécifie Région AWS la nouvelle clé primaire,eu-west-1.

$ aws kms update-primary-region \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --primary-region eu-west-1

En cas de succès, cette opération ne renvoie aucune sortie ; seulement le code d'état HTTP. Pour voir l'effet, appelez l'DescribeKeyopération sur l'une des touches multirégions. Vous devrez peut-être attendre que l'état de la clé repasse à Enabled. Pendant que l'état de la clé est Updating (Mise à jour en cours), les valeurs de la clé peuvent toujours être en flux.

Par exemple, l'appel DescribeKey suivant obtient les détails sur la clé multi-région dans la région eu-west-1. La sortie indique que la clé multi-région dans la région eu-west-1 est désormais la clé principale. La clé multi-région associée (même ID de clé) dans la région us-west-2 est désormais une clé de réplica.

$ aws kms describe-key \ --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1609193147.831, "Enabled": true, "Description": "multi-region-key", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" } ] } } }

Rotation de clés multi-région

Vous pouvez activer et désactiver la rotation automatique et effectuer une rotation à la demande du contenu clé dans les clés multirégionales. La rotation des clés est une propriété partagée des clés multirégionales.

Vous activez et désactivez la rotation automatique des clés uniquement sur la clé principale. Vous initiez la rotation à la demande uniquement sur la clé primaire.

  • Lors de la AWS KMS synchronisation des clés multirégionales, il copie le paramètre de propriété de rotation des clés de la clé primaire vers toutes les clés répliques associées.

  • Lorsqu'il AWS KMS fait pivoter le matériau clé, il crée un nouveau matériau clé pour la clé primaire, puis copie le nouveau matériau clé au-delà des limites de la région vers toutes les répliques de clés associées. Le contenu clé ne sort jamais AWS KMS non chiffré. Cette étape est soigneusement contrôlée pour s'assurer que les éléments de clé sont entièrement synchronisés avant qu'une clé ne soit utilisée dans une opération cryptographique.

  • AWS KMS ne chiffre aucune donnée avec le nouveau matériel clé tant que celui-ci n'est pas disponible dans la clé primaire et dans chacune de ses clés répliques.

  • Lorsque vous répliquez une clé principale qui a fait l'objet d'une rotation, la nouvelle clé de réplica possède les éléments de clé actuels et toutes les versions précédentes des éléments de clé pour ses clés multi-région associées.

Ce modèle garantit que les clés multi-région associées sont entièrement interopérables. Toute clé multi-région peut déchiffrer tout texte chiffré par une clé multi-région associée, même si le texte chiffré a été chiffré avant la création de la clé.

La rotation automatique des clés n'est pas prise en charge sur les clés KMS asymétriques ou les clés KMS avec un élément de clé importé. Pour plus d'informations sur la rotation automatique et à la demande des touches, consultezRotatif AWS KMS keys.

Téléchargement de clés publiques

Lorsque vous créez une clé KMS asymétrique multirégionale, vous AWS KMS créez une paire de clés RSA ou à courbe elliptique (ECC) pour la clé primaire. Ensuite, il copie cette paire de clés sur chaque réplica de la clé principale. Par conséquent, vous pouvez télécharger la clé publique à partir de la clé principale ou de l'une de ses clés de réplica. Vous obtiendrez toujours les mêmes éléments de clé.

Pour plus d'informations sur le téléchargement et l'utilisation de clés publiques en dehors de AWS KMS, consultezConsidérations particulières pour le téléchargement de clés publiques. Pour obtenir des instructions, consultez Téléchargement de clés publiques.